Вы уже скачали Windows 11? Проверьте свои аккаунты: возможно, они уже не ваши

Согласно отчету DomainTools, финансово мотивированная группа киберпреступников развернула масштабную инфраструктуру поддельных сайтов, маскирующихся под государственные налоговые сервисы, банковские приложения, страницы с контентом 18+ и программы для Windows. Кампания началась осенью 2024 года и включала более 80 доменов, используемых для распространения троянов под Android и Windows. Основная цель атакующих — кража учётных данных и финансовая информация, а также получение доступа к системам через поддельные формы входа.

Одним из направлений этой схемы стали сайты, выдающие себя за официальные страницы установки Windows. На таких ресурсах пользователю предлагалось загрузить якобы «помощник по установке системы», который на деле представлял собой вредоносное ПО. Для обхода фильтров безопасности злоумышленники применяли необычные методы маскировки, включая чрезмерно длинные URL-адреса с множеством пробелов (кодируемых как %20). Такая структура затрудняет автоматический анализ ссылок и может сбивать с толку системы, использующие регулярные выражения для поиска подозрительных шаблонов.

Особенностью кампании стало использование инструментов отслеживания, типичных для рекламных сетей. В коде загрузочных страниц обнаружены встроенные трекеры Facebook*. Это указывает на то, что атака выстроена по принципам цифрового маркетинга: злоумышленники отслеживали «конверсии», то есть количество пользователей, кликнувших по вредоносной ссылке, и, вероятно, привлекали трафик через платные рекламные кампании.

Связанная с этой деятельностью инфраструктура включает доменные регистраторы PDR Ltd. d/b/a PublicDomainRegistry.com и GMO Internet, а хостинг осуществлялся через провайдеров BL Networks и H2nexus Ltd. Среди используемых доменных зон преобладали .pro, .shop, .com, .icu и .top, а для регистрации злоумышленники применяли временные почтовые домены вроде fviainboxes.com, dropjar.com, replyloop.com, yopmail.com, robot-mail.com и protonmail.com. Это подчёркивает намерение действовать анонимно и с возможностью быстро менять инфраструктуру после блокировок или жалоб.

Наиболее активные поддельные ресурсы имитировали приложения TikTok, YouTube и платформы с азартными играми с пометкой 18+. Другие домены представлялись сайтами крупных банков и криптобирж, включая USAA, PMC, Bloomberg и Binance. Отдельная часть сети использовалась для распространения фейковых установщиков Windows 11 и приложений TrustCon VPN, что создавало иллюзию легитимности и побуждало пользователей скачивать заражённые файлы. Визуально такие страницы копировали дизайн оригинальных сайтов, а нажатие кнопки «Скачать» активировало загрузку трояна, маскирующегося под официальный установщик.

По характеру и организации инфраструктуры кампания напоминает деятельность «агентства чёрного маркетинга», где главная цель — масштаб и эффективность обмана, а не техническое совершенство. Преступники используют шаблонные конструкторы сайтов, позволяющие быстро клонировать дизайн под любую тематику, что ускоряет развёртывание новых страниц и усложняет борьбу с ними. Такая стратегия обеспечивает постоянное обновление доменов и уход от блокировок, предупреждений браузеров и списков угроз.

Особую опасность представляют социальные и психологические приёмы, применяемые в этих атаках. Основная ставка делается на любопытство, желание получить доступ к «запрещённому» или эксклюзивному контенту. Пользователи, ставшие жертвами таких уловок, часто стесняются сообщать о случившемся, что позволяет вредоносным кампаниям существовать дольше и оставаться незамеченными для антивирусных систем и исследователей.

Анализ инфраструктуры показывает, что кампания носит устойчивый характер и, вероятно, будет продолжена с новыми наборами доменов и тематиками. Пользователям следует проявлять повышенную осторожность при переходе по ссылкам, особенно ведущим на страницы, предлагающие загрузку приложений, связанных с банками, социальными сетями или системными инструментами. Визуальное сходство сайтов с оригиналами не гарантирует их безопасность — в ряде случаев именно подделка оказывается самой опасной.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.